Фильтрация содержимого сайтов (контента) в школе

Контент фильтрация

Контроль трафика, приходящего из Интернет, в школе важная задача. С одной стороны, необходимо запретить вредный для учащихся контент, с другой стороны не хотелось бы сужать доступ к полезной информации. Кроме того, реализация должна быть доступной, как с точки зрения цены, так и ресурсов дальнейшего сопровождения. ООО «ИТ малого бизнеса» имеет опыт развертывания систем сетевой защиты и предлагает Вашему вниманию доступное решение для фильтрации нежелательного контента с применением различных технологий. Ключевую роль в решении занимает межсетевой экран D-Link DFL-260E.

Наиболее полное и качественное решение задачи по фильтрации нежелательного контента в учебном заведении возможна с применением совокупности трех различных технологий:

1. Фильтрация контента силами провайдера Ростелеком. Ростелеком обладает возможностями и оборудованием для обеспечения прозрачного проксирования (принудительной трансляции через свое оборудование) http запросов клиентов. В рамках договоров по Интернет-подключению учебных заведений Ростелеком обеспечивает данную услугу. К сожалению, ввиду широкой аудитории и ограниченных ресурсов Ростелеком или другой крупный провайдер Интернет не в состоянии обеспечить качественную фильтрацию необходимого уровня для учебных заведений.

2. Использование бесплатных DNS служб, ограничивающих преобразование имён в IP адреса, а фактически, ограничивающих запросы клиентов к сайтам запрещенного содержания. Некоторые крупные Интернет компании пропагандируют для привлечения клиентов бесплатные службы, контролирующие трафик, например, Яндекс DNS. Суть решения в следующем…

Как известно, обращение к сайтам в подавляющем большинстве происходит по имени, которое лучше запоминается человеком ввиду различных ассоциаций. Когда клиент в адресной строке браузера набирает имя сайта www.ru, этот запрос направляется DNS серверу, который преобразует имя в соответствующий ему IP адрес 194.87.0.50. Получив ответ в виде IP адреса, компьютер клиента кэширует этот адрес локально и обращается к интернет ресурсу www.ru по полученному IP адресу. Логично предположить, что если не делать преобразование имен запрещенных сайтов в IP адреса, то и получить к ним доступ будет очень затруднительно.

Таким образом, если школа подключена к Интернет через маршрутизатор (обычно, так и есть), а в настройках маршрутизатора установить адреса «нужных» DNS серверов, то преобразование имен сайтов в запросах из школьной сети будет выполняться «правильными» серверами. А если эти DNS Сервера не возвращают адресов «плохих» сайтов, то и клиенты не получат к ним доступа (с некоторыми оговорками). Следует помнить, что для более успешной работы этого способа на школьном маршрутизаторе необходимо запретить обращение ко всем DNS серверам, кроме «правильных».

3. Использование для подключения к Интернет маршрутизатора (межсетевого экрана) c функциями фильтрации контента. В дополнение к первым двум способам или в качестве самостоятельного решения рекомендуется использовать устройство с встроенными функциями фильтрации вэб-содержимого. Причем полезно фильтровать не только адреса (URL), а еще тип и размер принимаемых файлов, что защитит школьный канал связи от перегрузок, а локальную сеть от вирусов и шпионского ПО.

Наш маршрутизатор должен быть достаточно мощным для успешной обработки множества запросов по множеству условий. Дешевые роутеры не справятся с данной задачей и будут «тормозить» трафик. В то же время устройство должно быть интуитивно понятным для управления (не требующим вмешательства IT профессионалов), не слишком дорогим, и достаточно компактным.

Межсетевой экран D-Link DFL-260E

В качестве примера такого устройства ООО «ИТ малого бизнеса» предлагает использовать межсетевой экран компании D-Link DFL-260E. Его возможностей вполне достаточно для большинства школ нашего региона. В случае повышенных требований можно обратить внимание на более мощное устройство DFL-860E.

DFL-260E по сути своей является межсетевым экраном и создан для обеспечения безопасного Интернет подключения доступными методами. Вернемся к основной теме – фильтрации контента. Для решения этой задачи данное устройство обеспечивает множество функций:

a. Создание групп компьютеров в школьной сети с разным уровнем доступа к Интернет. По уровню доступа могут различаться компьютеры учеников, учителей и администрации школы.

Создание групп компьютеров

b. Прозрачное проксирование (трансляция) DNS запросов на DNS сервера доверенного провайдера запрещая при этом все остальные запросы. Причем разные группы компьютеров могут иметь доступ к разным DNS серверам.

c. Правила доступа к вэб-контенту в соответствии с уровнем доступа компьютеров. Для одной группы может быть разрешен доступ только к вэб страничкам ограниченного числа сайтов, для другой к более широкому кругу сайтов и нет запрещения на Skype, третьей разрешено всё кроме электронной почты и т.д.

d. Фильтрация по типу и длине файлов. Например, включаем ограничения типа принимаемых файлов (можно php, asp, htm и нельзя exe, com, bat), ограничения длины файлов до 1МБ.

Типы файлов для фильтрации

e. Автоматическая фильтрация трафика по содержимому при наличии подписки. Годовая подписка может обойтись от 4500 рублей в год. Можно фильтровать взрослое содержание, бизнес, рекламу, террористическую и криминальную тематику, электронную коммерцию, пропаганду алкоголя и наркотиков, спорт, политику и многое другое. Вы можете не запрещать передачу этой информации клиенту, а лишь вести запись в лог кто из клиентов интересуется какими темами.

Категории контента для фильтрации

f. Дополнительная годовая подписка обеспечивает антивирусное сканирование входящего трафика.

g. Фильтрация сайтов по именам или запросам. Можно создать список шаблонов (регулярных выражений). Например, если в запрещающем фильтре прописывается строка вида *porn*, то это будет запрещать доступ к pornfake.com, porno.ru, porno.ukoz.com, somename.ru/porno и другим url, содержащим фрагмент porn.

Шаблоны URL для фильтрации

h. Отображение запрещающей страницы для клиента сети, которую можно настроить по своим потребностям.

Страница уведомления о запрете доступа

Интерфейс DFL имеет графическую, интуитивно понятную модель и доступен для освоения любому начинающему специалисту по информатике. Функциональные возможности устройства DFL-260E гораздо шире представленных в короткой статье. Вы можете приобрести эти устройства в нашей компании по выгодной цене, а специалисты ООО «ИТ малого бизнеса» помогут Вам на этапах развертывания и обслуживания сетей.

Поделитесь ссылкой в сетях